pixel
08.05.06, 09:54
Hallo zusammen,
ich habe in zwei verscheiden, geografisch getrennten, LAN's jeweils ein OpenVPN-Gateway stehen mit welchem die externen Clients via Internet eine VPN-Verbindung aufbauen können und das LAN hinter dem Gateway benutzen können. OpenVPN ist in beiden LAN's auf dem Linux-Rechner der auch als Gateway ins Internet fungiert, also zwei Netzwerkkarten hat. Auf beiden Gateways wird OpenVPN mit X509-Zertifikaten benutzt.
In beiden LAN's steht jeweils ein DHCP- und DNS- Server. Die externen VPN-Clients werden durch den Tunnel per DHCP bedient. Die im Tunnel verwendete Netwerkadresse ist in beiden fällen die gleiche (10.1.0.0/24).
Beide Netzwerke sind mit ADSL an das Internet angebunden und haben eine dynamische IP, sind jedoch über ihren DynDNS-Namen von extern zu erreichen.
Das funktioniert auch an beiden Standorten, die externen Clients können sich einwählen und das jeweilige LAN nutzen d.h. alle Rechner im LAN hinter dem Gateway unter ihrem Hostnamen ansprechen und somit auch dessen Dienste (FTP, Groupware, CVS etc.) nutzen.
Nun möchte ich mit diese beiden OpenVPN-Server die LAN's verbinden. Die beiden Gateway sollen aber weiterhin für die jeweiligen externen Clients (Road Warrior) als VPN-Gateway (Server) erreichbar sein. Ist das überhaupt möglich und wenn ja wie realisiere ich dies am einfachsten?
Meine Umgebung sieht so aus:
-= LAN1 =-
Netzwerk: 192.168.0.0/24
IP-Adresse des Gateway's: 192.168.0.5
IP-Adresse des DNS-Server: 192.168.0.5
IP-Adresse des DHCP-Server: 192.168.0.5
externer DynDNS-Name: lan1.dyndns.org
interne DOMAIN: side1 (ohne TLD)
server.conf:
mode server
port 1194
proto udp
dev tun
tun-mtu 1492
ca /etc/ssl/certs/dreamCAcert.pem
cert /etc/ssl/certs/darwincert.pem
key /etc/ssl/private/darwinkey.pem
dh /etc/ssl/dh1024.pem
tls-auth ta.key 0
server 10.1.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
push "route 10.1.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.5"
push "dhcp-option DOMAIN side1"
push "route-delay"
keepalive 10 120
tls-server
auth SHA1
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
-= LAN2 =-
Netzwerk: 192.168.111.0/24
IP-Adresse des Gateway's: 192.168.111.3
IP-Adresse des DNS-Server: 192.168.111.1
IP-Adresse des DHCP-Server: 192.168.111.1
externer DynDNS-Name: lan2.dyndns.org
interne DOMAIN: side2 (ohne TLD)
server.conf:
mode server
port 1194
proto udp
dev tun
tun-mtu 1492
ca /etc/ssl/my-ca.pem
cert /etc/ssl/certs/servercert.pem
key /etc/ssl/private/serverkey.pem
dh /etc/ssl/dh1024.pem
tls-auth ta.key 0
server 10.1.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;client-to-client
push "route 192.168.111.0 255.255.255.0"
push "route 10.1.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.111.1"
push "dhcp-option DOMAIN side2"
push "route-delay"
keepalive 10 120
tls-server
auth SHA1
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
Viele Grüße
pixel
ich habe in zwei verscheiden, geografisch getrennten, LAN's jeweils ein OpenVPN-Gateway stehen mit welchem die externen Clients via Internet eine VPN-Verbindung aufbauen können und das LAN hinter dem Gateway benutzen können. OpenVPN ist in beiden LAN's auf dem Linux-Rechner der auch als Gateway ins Internet fungiert, also zwei Netzwerkkarten hat. Auf beiden Gateways wird OpenVPN mit X509-Zertifikaten benutzt.
In beiden LAN's steht jeweils ein DHCP- und DNS- Server. Die externen VPN-Clients werden durch den Tunnel per DHCP bedient. Die im Tunnel verwendete Netwerkadresse ist in beiden fällen die gleiche (10.1.0.0/24).
Beide Netzwerke sind mit ADSL an das Internet angebunden und haben eine dynamische IP, sind jedoch über ihren DynDNS-Namen von extern zu erreichen.
Das funktioniert auch an beiden Standorten, die externen Clients können sich einwählen und das jeweilige LAN nutzen d.h. alle Rechner im LAN hinter dem Gateway unter ihrem Hostnamen ansprechen und somit auch dessen Dienste (FTP, Groupware, CVS etc.) nutzen.
Nun möchte ich mit diese beiden OpenVPN-Server die LAN's verbinden. Die beiden Gateway sollen aber weiterhin für die jeweiligen externen Clients (Road Warrior) als VPN-Gateway (Server) erreichbar sein. Ist das überhaupt möglich und wenn ja wie realisiere ich dies am einfachsten?
Meine Umgebung sieht so aus:
-= LAN1 =-
Netzwerk: 192.168.0.0/24
IP-Adresse des Gateway's: 192.168.0.5
IP-Adresse des DNS-Server: 192.168.0.5
IP-Adresse des DHCP-Server: 192.168.0.5
externer DynDNS-Name: lan1.dyndns.org
interne DOMAIN: side1 (ohne TLD)
server.conf:
mode server
port 1194
proto udp
dev tun
tun-mtu 1492
ca /etc/ssl/certs/dreamCAcert.pem
cert /etc/ssl/certs/darwincert.pem
key /etc/ssl/private/darwinkey.pem
dh /etc/ssl/dh1024.pem
tls-auth ta.key 0
server 10.1.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
push "route 10.1.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.5"
push "dhcp-option DOMAIN side1"
push "route-delay"
keepalive 10 120
tls-server
auth SHA1
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
-= LAN2 =-
Netzwerk: 192.168.111.0/24
IP-Adresse des Gateway's: 192.168.111.3
IP-Adresse des DNS-Server: 192.168.111.1
IP-Adresse des DHCP-Server: 192.168.111.1
externer DynDNS-Name: lan2.dyndns.org
interne DOMAIN: side2 (ohne TLD)
server.conf:
mode server
port 1194
proto udp
dev tun
tun-mtu 1492
ca /etc/ssl/my-ca.pem
cert /etc/ssl/certs/servercert.pem
key /etc/ssl/private/serverkey.pem
dh /etc/ssl/dh1024.pem
tls-auth ta.key 0
server 10.1.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;client-to-client
push "route 192.168.111.0 255.255.255.0"
push "route 10.1.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.111.1"
push "dhcp-option DOMAIN side2"
push "route-delay"
keepalive 10 120
tls-server
auth SHA1
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
Viele Grüße
pixel